Microsoft Sentinel 警示架構的設計目的是將各種產品的安全性相關警示標準化為Microsoft進階安全性資訊模型 (ASIM) 內的標準化格式。 此架構著重於安全性事件,確保跨不同數據源進行一致且有效率的分析。
警示架構代表各種類型的安全性警示,例如威脅、可疑活動、用戶行為異常和合規性違規。 這些警示是由不同的安全性產品和系統報告,包括但不限於 EDR、防病毒軟體、入侵檢測系統、數據外洩防護工具等。
如需Microsoft Sentinel 中正規化的詳細資訊,請參閱正規化和進階安全性資訊模型 (ASIM)。
剖析器
如需 ASIM 剖析器的詳細資訊,請參閱 ASIM 剖析器概觀。
統一剖析器
要使用統一所有 ASIM 現成解析器並確保分析能跨越所有設定來源的解析器,請使用解析 _Im_AlertEvent 器。
現用、來源特定剖析器
如需Microsoft Sentinel 提供的警示剖析器清單,請參閱 ASIM 剖析器清單。
新增您自己的標準化剖析器
開發警示資訊模型的自訂剖析器時,請使用下列語法為您的 KQL 函式命名:
-
vimAlertEvent<vendor><Product>用於參數化剖析器 -
ASimAlertEvent<vendor><Product>適用於一般剖析器
請參閱管理 ASIM 剖析器一文,瞭解如何將自定義剖析器新增至警示統一剖析器。
篩選剖析器參數
警示剖析器支援各種 篩選參數 ,以改善查詢效能。 這些參數是選擇性參數,但可以增強查詢效能。 下列篩選參數可供使用:
| 名稱 | 類型 | 描述 |
|---|---|---|
| starttime | 日期時間 | 僅篩選在此時間或之後啟動的警示。 |
| endtime | 日期時間 | 僅篩選此時或之前啟動的警示。 |
| ipaddr_has_any_prefix | dynamic | 僅篩選 『DvcIpAddr』 字段位於其中一個所列值的警示。 |
| hostname_has_any | dynamic | 僅篩選 『DvcHostname』 字段位於其中一個所列值的警示。 |
| username_has_any | dynamic | 僅篩選 [用戶名稱] 字段位於其中一個所列值的警示。 |
| attacktactics_has_any | dynamic | 僅篩選 『AttackTactics』 字段位於其中一個所列值的警示。 |
| attacktechniques_has_any | dynamic | 僅篩選 『AttackTechniques』 字段位於其中一個所列值的警示。 |
| threatcategory_has_any | dynamic | 僅篩選 『ThreatCategory』 字段位於其中一個列出的值中的警示。 |
| alertverdict_has_any | dynamic | 僅篩選 『AlertVerdict』 字段位於其中一個列出的值中的警示。 |
| eventseverity_has_any | dynamic | 只篩選 『EventSeverity』 字段在其中一個列出的值中的警示。 |
架構概觀
警示架構提供數種類型的安全性事件,這些事件會共用相同的欄位。 這些事件是由 EventType 欄位所識別:
- 威脅資訊:與各種類型的惡意活動相關的警示,例如惡意代碼、網路釣魚、勒索軟體和其他網路威脅。
- 可疑活動:不一定已確認威脅但可疑且需要進一步調查的活動警示,例如多次失敗的登入嘗試或存取受限制的檔案。
- 使用者行為異常:指出可能建議安全性問題的異常或非預期用戶行為的警示,例如異常登入時間或不尋常的數據存取模式。
- 合規性違規:與法規或內部原則不符合規範相關的警示。 例如,以開放公用埠公開的 VM 容易遭受攻擊(雲端安全性警示)。
重要
若要保留警示架構的相關性和有效性,應該只對應安全性相關的警示。
警示架構會參考下列實體來擷取警示的詳細數據:
-
Dvc 欄位可用來擷取與警示相關聯的主機或 Ip 相關詳細數據
-
使用者 字段可用來擷取與警示相關聯之使用者的詳細數據。
- 同樣地,[處理]、[檔案]、[URL]、[登錄] 和 [電子郵件] 欄位會分別用來擷取與警示相關聯之進程、檔案、Url、登錄和電子郵件的主要詳細數據。
重要
- 建置產品特定的剖析器時,當警示包含安全性事件或潛在威脅的相關信息時,請使用 ASIM 警示架構架構,而主要詳細數據可以直接對應至可用的警示架構欄位。 警示架構很適合用來擷取摘要資訊,而不需要廣泛的實體特定欄位。
- 不過,如果您發現自己因為缺乏直接字段相符而將基本字段放在 『AdditionalFields』 中,請考慮更特殊的架構。 例如,如果警示包含網路相關詳細數據,例如多個IP位址,例如SrcIpAdr、DstIpAddr、PortNumber等,則您可以選擇透過警示架構選擇 NetworkSession 架構。 特製化架構也提供專用字段來擷取威脅相關信息、增強數據品質,以及促進有效率的分析。
架構詳細數據
一般 ASIM 欄位
下列清單提及具有警示事件特定指導方針的欄位:
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EventType | 必要 | Enumerated | 事件的類型。 支援的值為: - Alert |
| EventSubType | 建議需求 | Enumerated | 指定警示事件的子類型或類別,在更廣泛的事件分類中提供更細微的詳細數據。 此欄位有助於區分偵測到問題的本質、改善事件優先順序和回應策略。 支援的值包括: - Threat (代表可能危害系統或網路的已確認或極可能惡意活動)- Suspicious Activity (標幟異常或可疑的行為或事件,但尚未確認為惡意)- Anomaly (識別可能表示潛在安全性風險或作問題的正常模式偏差)- Compliance Violation (強調違反法規、政策或合規性標準的活動) |
| EventUid | 必要 | 字串 | 計算機可讀取的英數位元字串,可唯一識別系統中的警示。 例如, A1bC2dE3fH4iJ5kL6mN7oP8qR9s |
| EventMessage | 選擇性 | 字串 | 警示的詳細資訊,包括其內容、原因和潛在影響。 例如, Potential use of the Rubeus tool for kerberoasting, a technique used to extract service account credentials from Kerberos tickets. |
| IpAddr | Alias | 欄位的 DvcIpAddr 別名或易記名稱。 |
|
| 主機名稱 | Alias | 欄位的 DvcHostname 別名或易記名稱。 |
|
| EventSchema | 必要 | Enumerated | 用於事件的架構。 這裡記載的架構為 AlertEvent。 |
| EventSchemaVersion | 必要 | SchemaVersion(字串) | 結構描述的版本。 這裡記載的架構版本為 0.1。 |
所有通用欄位
下表中顯示的欄位適用於所有 ASIM 架構。 上述任何指定的指導方針會覆寫欄位的一般指導方針。 例如,欄位通常是選擇性的,但特定架構的必要專案。 如需每個欄位的詳細資訊,請參閱 ASIM 通用欄位 一文。
| 類別 | 欄位 |
|---|---|
| 必要 |
-
事件計數 - 事件開始時間 - 事件結束時間 - 事件類型 - 事件Uid - 活動產品 - 活動供應商 - 事件架構 - 事件架構版本 |
| 建議需求 |
-
事件子類型 - 事件嚴重性 - DvcIpAddr - Dvc主機名稱 - Dvc網域 - Dvc網域類型 - DvcFQDN - DVCID - DvcId類型 |
| 選擇性 |
-
事件訊息 - 事件原始類型 - EventOriginal子類型 - EventOriginal嚴重性 - 事件產品版本 - 事件原創 - 事件報告網址 - 事件結果 - 事件擁有者 - Dvc區域 - DvcMacAddr - DvcOS - DvcOs版本 - Dvc動作 - DvcOriginal動作 - Dvc介面 - 附加欄位 - Dvc說明 - DvcScopeID - Dvc範圍 |
檢查欄位
下表涵蓋提供與警示相關聯之規則和威脅的重要見解的欄位。 它們一起有助於豐富警示的內容,讓安全性分析師更容易瞭解其來源和重要性。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| AlertId | Alias | 字串 | 欄位的 EventUid 別名或易記名稱。 |
| AlertName | 建議需求 | 字串 | 警示的標題或名稱。 例如, Possible use of the Rubeus kerberoasting tool |
| AlertDescription | Alias | 字串 | 欄位的 EventMessage 別名或易記名稱。 |
| AlertVerdict | 選擇性 | Enumerated | 警示的最終判斷或結果,指出警示是否已確認為威脅、視為可疑或解析為誤判。 支援的值為: - True Positive (確認為合法威脅)- False Positive (錯誤地識別為威脅)- Benign Positive (當事件確定為無害時)- Unknown (不確定或不確定的狀態) |
| AlertStatus | 選擇性 | Enumerated | 指出警示的目前狀態或進度。 支援的值為: - Active- Closed |
| AlertOriginalStatus | 選擇性 | 字串 | 由原始系統回報的警示狀態。 |
| DetectionMethod | 選擇性 | Enumerated | 提供有關產生警示的特定偵測方法、技術或數據源的詳細資訊。 此欄位提供更深入的警示偵測或觸發方式,協助瞭解偵測內容和可靠性。 支援的值包括: - EDR:監視和分析端點活動的端點偵測和響應系統,以識別威脅。- Behavioral Analytics:偵測使用者、裝置或系統行為異常模式的技術。- Reputation:根據IP位址、網域或檔案的信譽進行威脅偵測。- Threat Intelligence:外部或內部情報摘要提供已知威脅或敵人策略的數據。- Intrusion Detection:監視網路流量或活動是否有入侵或攻擊跡象的系統。- Automated Investigation:分析及調查警示的自動化系統,減少手動工作負載。- Antivirus:根據簽章和啟發學習法偵測惡意代碼的傳統防毒引擎。- Data Loss Prevention:著重於防止未經授權的數據傳輸或外泄的解決方案。- User Defined Blocked List:使用者定義的自定義清單,以封鎖特定IP、網域或檔案。- Cloud Security Posture Management:評估及管理雲端環境中安全性風險的工具。- Cloud Application Security:保護雲端應用程式和數據的解決方案。- Scheduled Alerts:根據預先定義的排程或閾值產生的警示。- Other:上述類別未涵蓋的任何其他偵測方法。 |
| 規則 | Alias | 字串 | RuleName 的值或 RuleNumber 的值。 如果使用 RuleNumber 的值,則類型應該轉換成字串。 |
| RuleNumber | 選擇性 | int | 與警示相關聯的規則數目。 例如, 123456 |
| RuleName | 選擇性 | 字串 | 與警示相關聯的規則名稱或標識碼。 例如, Server PSEXEC Execution via Remote Access |
| RuleDescription | 選擇性 | 字串 | 與警示相關聯的規則描述。 例如, This rule detects remote execution on a server using PSEXEC, which may indicate unauthorized administrative activity or lateral movement within the network |
| ThreatId | 選擇性 | 字串 | 警示中識別的威脅或惡意代碼標識碼。 例如, 1234567891011121314 |
| ThreatName | 選擇性 | 字串 | 警示中所識別的威脅或惡意代碼名稱。 例如, Init.exe |
| ThreatFirstReportedTime | 選擇性 | 日期時間 | 第一次報告威脅的日期和時間。 例如, 2024-09-19T10:12:10.0000000Z |
| ThreatLastReportedTime | 選擇性 | 日期時間 | 上次報告威脅的日期和時間。 例如, 2024-09-19T10:12:10.0000000Z |
| ThreatCategory | 建議需求 | Enumerated | 警示中識別的威脅或惡意代碼類別。 支援的值為: Malware、、RansomwareTrojanVirusWormAdwareSpywareRootkit、、 CryptominorPhishingSpamMaliciousUrlSpoofingSecurity Policy ViolationUnknown |
| ThreatOriginalCategory | 選擇性 | 字串 | 原始系統所報告的威脅類別。 |
| ThreatIsActive | 選擇性 | bool | 指出威脅目前是否作用中。 支援的值包括: True、 False |
| ThreatRiskLevel | 選擇性 | 風險等級(整數) | 與威脅相關聯的風險層級。 層級應該是介於 0 到 100 之間的數位。 注意:來源記錄中可能會使用不同的小數字數來提供此值,而這個小數字數應該正規化為這個小數字數。 原始值應該儲存在 ThreatRiskLevelOriginal 中。 |
| ThreatOriginalRiskLevel | 選擇性 | 字串 | 原始系統所報告的風險層級。 |
| ThreatConfidence | 選擇性 | 信心水準(整數) | 識別的威脅信賴等級,標準化為介於 0 到 100 之間的值。 |
| ThreatOriginalConfidence | 選擇性 | 字串 | 原始系統所報告的信賴等級。 |
| IndicatorType | 建議需求 | Enumerated | 指標的類型或類別 支援的值為: - Ip- User- Process- Registry- Url- Host- Cloud Resource- Application- File- Email- Mailbox- Logon Session |
| IndicatorAssociation | 選擇性 | Enumerated | 指定指標是否連結至威脅,或受到威脅直接影響。 支援的值為: - Associated- Targeted |
| AttackTactics | 建議需求 | 字串 | 與警示相關聯的攻擊策略(名稱、標識碼或兩者) 。 慣用格式: 例如: Persistence, Privilege Escalation |
| AttackTechniques | 建議需求 | 字串 | 與警示相關聯的攻擊技術(名稱、標識元或兩者) 。 慣用格式: 例如: Local Groups (T1069.001), Domain Groups (T1069.002) |
| AttackRemediationSteps | 建議需求 | 字串 | 建議的動作或步驟,以減輕或補救已識別的攻擊或威脅。 例如: 1. Make sure the machine is completely updated and all your software has the latest patch.2. Contact your incident response team. |
使用者欄位
本節會定義與警示相關聯之使用者的識別和分類相關的欄位,以清楚說明受影響的使用者及其身分識別的格式。 如果警示包含其他超過此處所對應的多個使用者相關欄位,您可以考慮是否更適合用來完整表示數據的特製化架構,例如驗證事件架構。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| UserId | 選擇性 | 字串 | 計算機可讀取、英數位元、與警示相關聯之使用者的唯一表示法。 例如, A1bC2dE3fH4iJ5kL6mN7o |
| UserIdType | 條件 | Enumerated | 使用者識別碼的類型,例如 GUID、 SID或 Email。支援的值為: - GUID- SID- Email- Username- Phone- Other |
| 使用者名稱 | 建議需求 | 使用者名稱(字串) | 與警示相關聯的用戶名稱,包括可用時的網域資訊。 例如 Contoso\JSmith 或 john.smith@contoso.com |
| 使用者 | Alias | 字串 | 欄位的 Username 別名或易記名稱。 |
| UsernameType | 條件 | UsernameType | 指定儲存在 Username 欄位中的使用者名稱類型。 如需詳細資訊,以及允許的值清單,請參閱架構概觀一文中的UsernameType。例如, Windows |
| UserType | 選擇性 | UserType | 動作項目的類型。 如需詳細資訊和允許的值清單,請參閱架構概觀一文中的UserType。 例如, Guest |
| OriginalUserType | 選擇性 | 字串 | 報告裝置所報告的用戶類型。 |
| UserSessionId | 選擇性 | 字串 | 與警示相關聯之用戶會話的唯一標識符。 例如, a1bc2de3-fh4i-j5kl-6mn7-op8qr9st0u |
| UserScopeId | 選擇性 | 字串 | 定義 UserId 和 Username 的範圍識別碼,例如 Microsoft Entra 目錄識別碼。 例如, a1bc2de3-fh4i-j5kl-6mn7-op8qrs |
| UserScope | 選擇性 | 字串 | 定義 UserId 和 Username 的範圍,例如 Microsoft Entra 租使用者。 欲了解更多資訊及允許值清單,請參閱結構概覽文章中的 UserScope。 例如, Contoso Directory |
處理欄位
本節可讓您使用指定的字段,擷取與警示中涉及的進程實體相關的詳細數據。 如果警示包含超過此處所對應專案的其他詳細進程相關欄位,您可以考慮是否更適合用來完整表示數據的特製化架構,例如進程事件架構。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| ProcessId | 選擇性 | 字串 | 與警示相關聯的進程標識碼 (PID)。 例如, 12345678 |
| ProcessCommandLine | 選擇性 | 字串 | 用來啟動程式的命令行。 例如, "choco.exe" -v |
| ProcessName | 選擇性 | 字串 | 進程的名稱。 例如, C:\Windows\explorer.exe |
| ProcessFileCompany | 選擇性 | 字串 | 建立程式映像檔的公司。 例如, Microsoft |
檔案欄位
本節可讓您擷取與警示相關檔案實體的相關詳細數據。 如果警示包含超過此處所對應專案的其他詳細檔案相關欄位,您可以考慮是否更適合用來完整表示數據的特製化架構,例如檔案事件架構。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| FileName | 選擇性 | 字串 | 與警示相關聯的檔名,不含路徑或位置。 例如, Notepad.exe |
| FilePath | 選擇性 | 字串 | 目標檔案的完整正規化路徑,包括資料夾或位置、檔名和擴展名。 例如, C:\Windows\System32\notepad.exe |
| FileSHA1 | 選擇性 | 字串 | 檔案的SHA1哈希。 例如, j5kl6mn7op8qr9st0uv1 |
| FileSHA256 | 選擇性 | 字串 | 檔案的SHA256哈希。 例如, a1bc2de3fh4ij5kl6mn7op8qrs2de3 |
| FileMD5 | 選擇性 | 字串 | 檔案的 MD5 哈希。 例如, j5kl6mn7op8qr9st0uv1wx2yz3ab4c |
| FileSize | 選擇性 | long | 檔案大小,以位元組為單位。 例如, 123456 |
URL 欄位
如果您的警示包含 URL 實體的相關信息,下列欄位可以擷取 URL 相關數據。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| Url | 選擇性 | 字串 | 警示中擷取的 URL 字串。 例如, https://contoso.com/fo/?k=v&q=u#f |
登錄欄位
如果您的警示包含登錄實體的詳細數據,請使用下列欄位來擷取特定登錄相關信息。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| RegistryKey | 選擇性 | 字串 | 與警示相關聯的登錄機碼,標準化為標準根密鑰命名慣例。 例如, HKEY_LOCAL_MACHINE\SOFTWARE\MTG |
| RegistryValue | 選擇性 | 字串 | 登錄值。 例如, ImagePath |
| RegistryValueData | 選擇性 | 字串 | 登錄值的數據。 例如, C:\Windows\system32;C:\Windows; |
| RegistryValueType | 選擇性 | Enumerated | 登錄值的型別。 例如, Reg_Expand_Sz |
電子郵件欄位
如果您的警示包含電子郵件實體的相關信息,請使用下列欄位來擷取特定電子郵件相關詳細數據。
| 欄位 | 類別 | 類型 | 描述 |
|---|---|---|---|
| EmailMessageId | 選擇性 | 字串 | 與警示相關聯的電子郵件訊息的唯一標識符。 例如, Request for Invoice Access |
| EmailSubject | 選擇性 | 字串 | 電子郵件的主旨。 例如, j5kl6mn7-op8q-r9st-0uv1-wx2yz3ab4c |
架構更新
以下是各種架構版本的變更:
- 版本 0.1:初始版本。